《網(wǎng)絡(luò)系統(tǒng)建設(shè)與運(yùn)維》課件-第8章 WLAN技術(shù)

第8章WLAN技術(shù)學(xué)習(xí)目標(biāo)掌握無(wú)線的基本概念，包括無(wú)線應(yīng)用概況、無(wú)線協(xié)議標(biāo)準(zhǔn)、無(wú)線射頻與AP天線的工作原理；掌握WLAN的基礎(chǔ)知識(shí)，包括WLAN的工作原理、FATAP的基礎(chǔ)配置；掌握WLAN的安全知識(shí)，包括WLAN的安全問(wèn)題、WLAN的安全對(duì)策及WLAN的安全配置；WLAN技術(shù)無(wú)線的基本概念WLAN的基礎(chǔ)配置WLAN的安全配置無(wú)線應(yīng)用概況無(wú)線協(xié)議標(biāo)準(zhǔn)無(wú)線射頻與AP天線常見的無(wú)線網(wǎng)絡(luò)設(shè)備WLAN的工作原理FATAP的網(wǎng)絡(luò)組建FATAP的基礎(chǔ)配置WLAN的安全問(wèn)題WLAN的安全對(duì)策WLAN的安全標(biāo)準(zhǔn)WLAN的安全配置一、無(wú)線應(yīng)用概況1、無(wú)線網(wǎng)絡(luò)的概念無(wú)線網(wǎng)絡(luò)（WirelessNetwork）是采用無(wú)線通信技術(shù)實(shí)現(xiàn)的網(wǎng)絡(luò)。無(wú)線網(wǎng)絡(luò)既包括允許用戶建立遠(yuǎn)距離無(wú)線連接的全球語(yǔ)音和數(shù)據(jù)網(wǎng)絡(luò)，也包括對(duì)近距離無(wú)線連接進(jìn)行優(yōu)化的紅外線技術(shù)及射頻技術(shù)。無(wú)線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)的用途十分類似，最大的不同在于傳輸媒介不同，它利用無(wú)線電技術(shù)取代網(wǎng)線。無(wú)線網(wǎng)絡(luò)相比有線網(wǎng)絡(luò)具有以下特點(diǎn)：高靈活性可擴(kuò)展性強(qiáng)一、無(wú)線應(yīng)用概況2、無(wú)線網(wǎng)絡(luò)現(xiàn)狀與發(fā)展趨勢(shì)據(jù)統(tǒng)計(jì)，目前中國(guó)網(wǎng)民數(shù)量約占全國(guó)人口的50%，而通過(guò)無(wú)線上網(wǎng)的用戶超過(guò)9成。國(guó)家將加快構(gòu)建高速、移動(dòng)、安全、泛在的新一代信息基礎(chǔ)設(shè)施，推進(jìn)信息網(wǎng)絡(luò)技術(shù)廣泛運(yùn)用，形成萬(wàn)物互聯(lián)、人機(jī)交互、天地一體的網(wǎng)絡(luò)空間，在城鎮(zhèn)熱點(diǎn)公共區(qū)域推廣免費(fèi)高速無(wú)線局域網(wǎng)（WLAN）接入。目前，無(wú)線網(wǎng)絡(luò)在機(jī)場(chǎng)、地鐵、客運(yùn)站等公共交通領(lǐng)域、醫(yī)療機(jī)構(gòu)、教育園區(qū)、產(chǎn)業(yè)園區(qū)、商城等公共區(qū)域?qū)崿F(xiàn)了重點(diǎn)城市的全覆蓋，下一階段將實(shí)現(xiàn)城鎮(zhèn)級(jí)別的公共區(qū)域全覆蓋，無(wú)線網(wǎng)絡(luò)規(guī)模將持續(xù)增長(zhǎng)。一、無(wú)線應(yīng)用概況3、無(wú)線局域網(wǎng)的概念無(wú)線局域網(wǎng)絡(luò)是指以無(wú)線信道作傳輸媒介的計(jì)算機(jī)局域網(wǎng)(WirelessLocalAreaNetwork，WLAN)。計(jì)算機(jī)無(wú)線聯(lián)網(wǎng)方式是有線聯(lián)網(wǎng)方式的一種補(bǔ)充，它是在有線網(wǎng)的基礎(chǔ)上發(fā)展起來(lái)的，使網(wǎng)上的計(jì)算機(jī)具有可移動(dòng)性，能快速、方便地解決以有線方式不易實(shí)現(xiàn)的網(wǎng)絡(luò)信道的連通問(wèn)題。IEEE802.11協(xié)議簇是由電氣和電子工程師協(xié)會(huì)（InstituteofElectricalandElectroSTAsEngineers；IEEE）所定義的無(wú)線網(wǎng)絡(luò)通信的標(biāo)準(zhǔn)，無(wú)線局域網(wǎng)基于IEEE802.11協(xié)議工作。一、無(wú)線應(yīng)用概況4、無(wú)線局域網(wǎng)的概念大家經(jīng)常說(shuō)Wi-Fi，那么Wi-Fi和WLAN有什么關(guān)系？？？Wi-Fi＝采用IEEE802.11技術(shù)的WLAN二、無(wú)線協(xié)議標(biāo)準(zhǔn)1、IEEE802.11a工作在5.8GHz頻段最大54Mbit/s的數(shù)據(jù)傳輸速率物理層速率可達(dá)54Mbit/s傳輸層可達(dá)25Mbit/s載波調(diào)制技術(shù)二、無(wú)線協(xié)議標(biāo)準(zhǔn)2、IEEE802.11bIEEE802.11b運(yùn)作模式基本分為兩種：點(diǎn)對(duì)點(diǎn)模式(AD-HOCMode)基本模式（InfrastructureMode）。工作在2.4GHz頻段1、2、5.5&11Mbit/s數(shù)據(jù)速率擴(kuò)展的DirectSequencingSpreadSpectrum(DSSS)標(biāo)準(zhǔn)的ComplementaryCodeKeying(CCK)調(diào)制二、無(wú)線協(xié)議標(biāo)準(zhǔn)3、IEEE802.11g工作在2.4GHz頻段使用正交頻分復(fù)用（OFDM）調(diào)制技術(shù)數(shù)據(jù)傳輸速率提高到20Mbit/s以上保障了后向兼容性二、無(wú)線協(xié)議標(biāo)準(zhǔn)4、IEEE802.11n工作在2.4GHz、5.8GHz頻段最大傳輸速率300~600Mbit/sOFDM調(diào)制技術(shù)MIMO技術(shù)（MultipleInputMultipleOutput）協(xié)議兼容向下兼容IEEE802.11b/g/a協(xié)議二、無(wú)線協(xié)議標(biāo)準(zhǔn)5、IEEE802.11ac工作在5.8GHz頻段最大傳輸速率6933Mbit/sOFDM調(diào)制技術(shù)MIMO技術(shù)（MultipleInputMultipleOutput）運(yùn)行模式：極高吞吐率（VeryHighThroughput）兼容性繼續(xù)工作在5.0GHz頻段上以保證向下兼容性，但數(shù)據(jù)傳輸通道會(huì)大大擴(kuò)充，20MHz的基礎(chǔ)上增至40MHz或者80MHz，甚至有可能達(dá)到160MHz二、無(wú)線協(xié)議標(biāo)準(zhǔn)6、IEEE802.11ax，也稱為高效無(wú)線網(wǎng)絡(luò)(High-EfficiencyWireless-HEW)IEEE802.11ax標(biāo)準(zhǔn)在物理層導(dǎo)入了多項(xiàng)大幅變更依舊可向下兼容于IEEE802.11a/b/g/n與ac設(shè)備二、無(wú)線協(xié)議標(biāo)準(zhǔn)I7、EEE802.11協(xié)議的頻率、最大傳輸速率表協(xié)議兼容性頻率理論最高速率IEEE802.11a

5.8GHz54Mbit/sIEEE802.11b

2.4GHz11Mbit/sIEEE802.11g兼容IEEE802.11b2.4GHz54Mbit/sIEEE802.11n兼容IEEE802.11a/b/g2.4GHz或5.8GHz600Mbit/sIEEE802.11ac兼容IEEE802.11a/n5.8GHz6.9Gbit/sIEEE802.11ax兼容IEEE802.11a/b/g/n/ac2.4GHz或5.8GHz9.6Gbit/s三、無(wú)線射頻與AP天線1、2.4GHz頻段當(dāng)AP工作在2.4GHz頻段的時(shí)候，AP工作的頻率范圍是2.4GHz~2.4835.8GHz。在此頻率范圍內(nèi)又劃分出14個(gè)信道。每個(gè)信道的中心頻率相隔5MHz，每個(gè)信道可供占用的帶寬為22MHz。三、無(wú)線射頻與AP天線2、5.8GHz頻段當(dāng)AP工作在5.8GHz頻段的時(shí)候，中國(guó)WLAN工作的頻率范圍是5.725.8GHz~5.850GHz。在此頻率范圍內(nèi)又劃分出5個(gè)信道，每個(gè)信道的中心頻率相隔20MHz。三、無(wú)線射頻與AP天線3、5.8GHz頻段信道與頻率表ChannelTransmit1495.745GHz1535.765GHz1575.785GHz1615.805GHz1655.825GHz三、無(wú)線射頻與AP天線4、全向天線全向天線，即在水平方向圖上表現(xiàn)為360°都均勻輻射也就是平常所說(shuō)的無(wú)方向性，在垂直方向圖上表現(xiàn)為有一定寬度的波束，一般情況下波瓣寬度越小，增益越大。三、無(wú)線射頻與AP天線5、定向天線定向天線，在水平方向圖上表現(xiàn)為一定角度范圍輻射，也就是平常所說(shuō)的有方向性。它同全向天線一樣，波瓣寬度越小，增益越大。三、無(wú)線射頻與AP天線6、吸頂天線吸頂天線的內(nèi)部結(jié)構(gòu)，雖然尺寸很小，但由于是在天線寬帶理論的基礎(chǔ)上，借助計(jì)算機(jī)的輔助設(shè)計(jì)，以及使用網(wǎng)絡(luò)分析儀進(jìn)行調(diào)試，因此能很好地滿足在非常寬的工作頻帶內(nèi)的駐波比要求。三、無(wú)線射頻與AP天線7、室外全向天線2.4GHz和5.8GHz室外全向天線外觀與參考參數(shù)頻率范圍5100MHz~5850MHz增益12dB垂直面波瓣寬度7駐波比<2.0極化方式垂直接頭型號(hào)N-K支撐桿直徑40~50mm頻率范圍2400MHz~2483MHz增益12dB垂直面波瓣寬度7駐波比<1.5極化方式垂直接頭型號(hào)N-K支撐桿直徑40~50mm三、無(wú)線射頻與AP天線8、拋物面天線由拋物面反射器和位于其焦點(diǎn)處的饋源組成的面狀天線叫拋物面天線。拋物面天線的主要優(yōu)勢(shì)是它的高方向性。它的功能類似于一個(gè)探照燈或手電筒反射器，向一個(gè)特定的方向匯聚無(wú)線電波到狹窄的波束,或從一個(gè)特定的方向接收無(wú)線電波。頻率范圍5725MHz~5850MHz增益24dB垂直面波瓣寬度12水平面波瓣寬度9前后比20駐波比<1.5極化方式垂直接頭型號(hào)N-K支撐桿直徑40~50mm頻率范圍2400MHz~2483MHz增益24dB垂直面波瓣寬度14水平面波瓣寬度10前后比31駐波比<1.5極化方式垂直接頭型號(hào)N-K支撐桿直徑40~50mm三、無(wú)線射頻與AP天線9、功率在無(wú)線應(yīng)用中，我們經(jīng)常聽到的功率單位是dBm而不是W或者mW。dB用于標(biāo)識(shí)一個(gè)相對(duì)值，是一個(gè)純計(jì)數(shù)單位，當(dāng)計(jì)算A的功率相比于B大或者小多少個(gè)dB時(shí)，可按計(jì)算公式:dB=10*lg（A/B）計(jì)算。例如：A功率比B功率大一倍，那么10*lg(A/B)=10*lg2=3dB。也就是說(shuō)，A的功率比B的功率大3dB。dBm（分貝毫瓦）指的是milliwatt，0dBm=1mW，計(jì)算公式為：10*lgP（功率值/1mW）。三、無(wú)線射頻與AP天線10、為什么使用dBdB能把一個(gè)很大（后面跟一長(zhǎng)串0的）或者很?。ㄇ懊嬗幸婚L(zhǎng)串0的）的數(shù)比較簡(jiǎn)短地表示出來(lái)。如：X=1000000000000000=10logX=150dBX=0.000000000000001=10logX=-150dB三、無(wú)線射頻與AP天線11、功率換算舉例例1：如果發(fā)射功率P為1mW，折算為dBm后為0dBm。例2：對(duì)于40W的功率，按0dBm單位進(jìn)行折算后的值應(yīng)為： 10*lg(40W/1mW)=10*lg(40000)=10*lg(4*10^4)=40+10*lg4=460dBm。三、無(wú)線射頻與AP天線12、無(wú)線傳輸質(zhì)量1）

無(wú)線與距離的關(guān)系2）

干擾源主要類型3）

無(wú)線信號(hào)的傳輸方式四、常見的無(wú)線網(wǎng)絡(luò)設(shè)備1、常見的無(wú)線網(wǎng)絡(luò)設(shè)備無(wú)線控制器（AccessController；AC）無(wú)線接入點(diǎn)（AccessPoint；AP）室內(nèi)AP室外AP

場(chǎng)景化產(chǎn)品系列AP四、常見的無(wú)線網(wǎng)絡(luò)設(shè)備2、無(wú)線控制器AC6003提供8口PoE（15.4W）滿供能力或者4口PoE+（30W）供電能力，可直接接入AP。提供豐富靈活的用戶策略管理及權(quán)限控制能力。設(shè)備可通過(guò)網(wǎng)管eSight、WEB網(wǎng)管、命令行（CLI）進(jìn)行維護(hù)。四、常見的無(wú)線網(wǎng)絡(luò)設(shè)備3、無(wú)線接入點(diǎn)無(wú)線AP從功能上可分為：“胖”AP

“瘦”AP

其中，“胖”AP擁有獨(dú)立的操作系統(tǒng)，可以進(jìn)行單獨(dú)配置和管理，而“瘦”AP則無(wú)法單獨(dú)進(jìn)行配置和管理操作，需要借助無(wú)線網(wǎng)絡(luò)控制器進(jìn)行統(tǒng)一的管理和配置。四、常見的無(wú)線網(wǎng)絡(luò)設(shè)備4、FATAP“胖”AP可以自主完成包括無(wú)線接入、安全加密、設(shè)備配置等在內(nèi)的多項(xiàng)任務(wù)，不需要其他設(shè)備的協(xié)助，適合用于構(gòu)建中、小型規(guī)模無(wú)線局域網(wǎng)。四、常見的無(wú)線網(wǎng)絡(luò)設(shè)備5、FITAP“瘦”AP又稱輕型無(wú)線AP，必須借助無(wú)線網(wǎng)絡(luò)控制器進(jìn)行配置和管理。階段總結(jié)無(wú)線局域網(wǎng)的概念？無(wú)線協(xié)議標(biāo)準(zhǔn)都有哪些？無(wú)線射頻都有哪些頻段，都細(xì)分為哪些信道？常見的無(wú)線網(wǎng)絡(luò)設(shè)備有哪些？五、WLAN的工作原理1、IEEE802.11標(biāo)準(zhǔn)的幀結(jié)構(gòu)IEEE802.11MAC層負(fù)責(zé)客戶端與AP之間的通信，包括掃描、認(rèn)證、接入、加密、漫游等；針對(duì)幀的不同功能，可將IEEE802.11中的MAC幀細(xì)分為以下3類：控制幀管理幀數(shù)據(jù)幀五、WLAN的工作原理2、IEEE802.11通用幀格式五、WLAN的工作原理3、IEEE802.11通用幀格式（1）幀控制結(jié)構(gòu)（FrameControl）（2）Duration/ID(持續(xù)時(shí)間/標(biāo)識(shí))（3）Address部分（4）SeqCtl：SequenceControl，序列控制域（5）FrameBody：幀主體（6）FCS：幀檢驗(yàn)序列五、WLAN的工作原理4、幀控制報(bào)文結(jié)構(gòu)五、WLAN的工作原理5、幀控制結(jié)構(gòu)Protocolversion：

協(xié)議版本，通常為0。Type與SubType：類型與次類型，ToDS與FromDS：用于表示幀是由工作站發(fā)起還是需要工作站接收的數(shù)據(jù)幀；MoreFragment：用于說(shuō)明長(zhǎng)幀被分段的情況，如果還有其他幀，該位被置1。Retry：重傳幀位，重傳的幀會(huì)將此位置1。PowerManagement：用來(lái)指定傳送端在完成目前的基本幀交換之后是否進(jìn)入省電模式，MoreData：為服務(wù)處于省電模式的STA，基站會(huì)將這些由“AP”接收而來(lái)的幀加以暫存。ProtectedFrame：如果幀受到鏈路層安全協(xié)議的保護(hù)，該位置1。Order：序號(hào)域，在長(zhǎng)幀分段傳輸時(shí)，該位置1，表示接受者應(yīng)該嚴(yán)格按照順序處理該幀。五、WLAN的工作原理6、MAC層工作原理IEEE802.11的MAC協(xié)議與IEEE802.3相似，考慮到無(wú)線局域網(wǎng)中，無(wú)線電波傳輸距離受限，不是所有的節(jié)點(diǎn)都能監(jiān)聽到信號(hào)，且無(wú)線網(wǎng)卡工作在半雙工模式，一旦發(fā)生碰撞，重新發(fā)送數(shù)據(jù)會(huì)降低吞吐量。因此，IEEE802.11對(duì)CSMA/CD進(jìn)行了一些修改，采用了CSMA/CA（載波監(jiān)聽多路訪問(wèn)/沖突退避機(jī)制）來(lái)避免沖突的發(fā)送。五、WLAN的工作原理7、CSMA/CA工作原理首先檢測(cè)信道是否有STA在使用，如果信道空閑，則等待DIFS時(shí)間后，就發(fā)送數(shù)據(jù)；如果檢測(cè)到信道正在使用，根據(jù)CSMA/CA退避算法，STA將凍結(jié)退避計(jì)時(shí)器。經(jīng)過(guò)DIFS時(shí)間后，繼續(xù)監(jiān)聽，只要信道空閑，退避計(jì)時(shí)器就進(jìn)行倒計(jì)時(shí)，當(dāng)退避計(jì)時(shí)器減少到零時(shí)（這是信道可能是空閑的），STA就發(fā)送幀并等待確認(rèn)。目標(biāo)STA如果正確收到該幀，則經(jīng)過(guò)SIFS時(shí)間后，向源STA發(fā)送ACK確認(rèn)幀；如果源STA收到ACK幀，確定數(shù)據(jù)正確傳輸，在經(jīng)過(guò)DIFS時(shí)間間隔后，會(huì)出現(xiàn)一段空閑時(shí)間，叫做爭(zhēng)用窗口，各STA進(jìn)入爭(zhēng)用信道情況，然后重復(fù)①；如果源STA沒有收到ACK，則需要重新發(fā)送原數(shù)據(jù)幀，直到收到確認(rèn)為止或經(jīng)過(guò)若干次重傳失敗后放棄發(fā)送。五、WLAN的工作原理8、IEEE802.11MAC的功能信道管理連接管理服務(wù)質(zhì)量功率控制安全時(shí)間同步特性六、FATAP的網(wǎng)絡(luò)組建1、FATAP的網(wǎng)絡(luò)組建AP通過(guò)有線網(wǎng)絡(luò)接入互聯(lián)網(wǎng)，每個(gè)AP都是一個(gè)單獨(dú)的節(jié)點(diǎn)，需要獨(dú)立配置其信道、功率、安全策略等。常見的應(yīng)用場(chǎng)景有家庭無(wú)線網(wǎng)絡(luò)、辦公室無(wú)線網(wǎng)等，一個(gè)園區(qū)無(wú)線網(wǎng)絡(luò)的典型拓?fù)淙鐖D所示。六、FATAP的網(wǎng)絡(luò)組建2、AP的配置六、FATAP的基礎(chǔ)配置3、案例8-1FATAP的基礎(chǔ)配置FATAP通過(guò)有線方式接入Internet，通過(guò)無(wú)線方式連接終端。Jan16公司為了保證工作人員可以隨時(shí)隨地的訪問(wèn)公司網(wǎng)絡(luò)，需要通過(guò)部署WLAN基本業(yè)務(wù)實(shí)現(xiàn)移動(dòng)辦公。提供名為“Jan16”的無(wú)線網(wǎng)絡(luò)。SW作為DHCP服務(wù)器和網(wǎng)關(guān)，為工作人員分配IP地址，AP僅做DHCP報(bào)文的二層透?jìng)?。六、FATAP的基礎(chǔ)配置4、案例相關(guān)數(shù)據(jù)準(zhǔn)備項(xiàng)目數(shù)據(jù)STA業(yè)務(wù)VLANVLAN10DHCP服務(wù)器SWSTA地址池NET:192.168.10.0/24GATEWAY:192.168.10.254SSID模板名稱：SSID1SSID名稱：jan16VAP模板名稱：VAP1業(yè)務(wù)VLAN：VLAN10引用模板：SSID模板SSID1六、FATAP的基礎(chǔ)配置5、案例配置思路（1）配置AP與上層網(wǎng)絡(luò)設(shè)備互通。（2）配置SW作為DHCP服務(wù)器，為STA分配IP地址。（3）配置WLAN業(yè)務(wù)參數(shù)。（4）應(yīng)用WLAN參數(shù)到無(wú)線射頻卡。六、FATAP的基礎(chǔ)配置6、案例8-1配置步驟1配置AP與上層網(wǎng)絡(luò)設(shè)備互通。<Huawei>system-view[Huawei]sysnameAP[AP]vlan10[AP-vlan10]nameUSER[AP-vlan10]quit[AP]interfaceVlanif10[AP-Vlanif10]ipaddress192.168.10.25324[AP-Vlanif10]quit[AP]interfacegigabitethernet0/0/0[AP-GigabitEthernet0/0/0]portlink-typetrunk[AP-GigabitEthernet0/0/0]porttrunkallow-passvlan10[AP-GigabitEthernet0/0/0]quit六、FATAP的基礎(chǔ)配置7、案例8-1配置步驟2配置SW作為DHCP服務(wù)器，為STA分配IP地址。<Huawei>system-view<Huawei>sysnameSW[SW]vlan10[SW-vlan10]nameUSER[SW-vlan10]quit[SW]interfacegigabitethernet0/0/1[SW-GigabitEthernet0/0/1]portlink-typetrunk[SW-GigabitEthernet0/0/1]porttrunkallow-passvlan10[SW-GigabitEthernet0/0/1]quit[SW]dhcpenable[SW]interfaceVlanif10[SW-Vlanif10]ipaddress192.168.10.25424[Router-GigabitEthernet1/0/0]dhcpselectinterface[Router-GigabitEthernet0/0/1]dhcpserverexcluded-ip-address192.168.10.253[SW-Vlanif10]quit六、FATAP的基礎(chǔ)配置8、案例8-1配置步驟3配置WLAN參數(shù)；[AP]wlan[AP-wlan-view]ssid-profilenameSSID1//創(chuàng)建名為“SSID1”的SSID模板[AP-wlan-ssid-prof-SSID1]ssidjan16//配置SSID名稱為“jan16”[AP-wlan-ssid-prof-SSID1]quit[AP-wlan-view]vap-profilenameVAP1//創(chuàng)建名為“VAP1”的VAP模板[AP-wlan-vap-prof-VAP1]service-vlanvlan-id10//配置業(yè)務(wù)VLAN為vlan10[AP-wlan-vap-prof-VAP1]ssid-profileSSID1//配置VAP模板引用SSID模板[AP-wlan-vap-prof-VAP1]quit[AP-wlan-view]quit六、FATAP的基礎(chǔ)配置9、案例8-1配置步驟4應(yīng)用WLAN參數(shù)到無(wú)線射頻卡；[AP]interfaceWlan-Radio0/0/0[AP-Wlan-Radio0/0/0]vap-profileVAP1wlan2//配置WLAN-ID2引用名為“VAP1”的VAP模板[AP-Wlan-Radio0/0/0]quit六、FATAP的基礎(chǔ)配置10、案例8-1驗(yàn)證1可以在AP上使用【displayvapssidVAP1】命令查看VAP信息，[AP]displayvapssidVAP1Info:Thisoperationmaytakeafewseconds,pleasewait.WID:WLANID-------------------------------------------------------------------------------APMACRfIDWIDBSSIDStatusAuthtypeSTASSID-------------------------------------------------------------------------------c4b8-b469-32e002C4B8-B469-32E1ONOpen0jan16-------------------------------------------------------------------------------Total:1六、FATAP的基礎(chǔ)配置11、案例8-1驗(yàn)證2在PC上查找無(wú)線信號(hào)jan16并接入。六、FATAP的基礎(chǔ)配置12、案例8-1驗(yàn)證3連接成功后使用【ping】命令測(cè)試連通性。PC>ping192.168.10.254Ping192.168.10.254:32databytes,PressCtrl_CtobreakFrom192.168.10.254:bytes=32seq=1ttl=128time=63msFrom192.168.10.254:bytes=32seq=2ttl=128time=62ms---省略部分顯示內(nèi)容---階段總結(jié)CSMA/CA工作原理？FATAP的配置細(xì)分為哪些步驟？七、WLAN的安全問(wèn)題1、WLAN安全問(wèn)題WLAN以無(wú)線信道作為傳輸媒介，利用電磁波在空氣中收發(fā)數(shù)據(jù)實(shí)現(xiàn)了傳統(tǒng)有線局域網(wǎng)的功能。然而由于WLAN傳輸媒介的特殊性和其固有的安全缺陷，用戶的數(shù)據(jù)面臨被竊聽和篡改的威脅，WLAN網(wǎng)絡(luò)常見的安全威脅有以下幾個(gè)方面。未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)非法AP數(shù)據(jù)安全拒絕服務(wù)攻擊八、WLAN的安全對(duì)策1、WLAN的安全對(duì)策開放系統(tǒng)認(rèn)證共享密鑰認(rèn)證SSID隱藏黑白名單認(rèn)證（MAC地址認(rèn)證）PSK認(rèn)證WLAN加密技術(shù)八、WLAN的安全對(duì)策1、開放系統(tǒng)認(rèn)證開放系統(tǒng)認(rèn)證不對(duì)用戶身份做任何驗(yàn)證，整個(gè)認(rèn)證過(guò)程中，通信雙方僅需交換兩個(gè)認(rèn)證幀：站點(diǎn)向AP發(fā)送一個(gè)認(rèn)證幀，AP以此幀的源MAC地址作為發(fā)送端的身份證明，AP隨即返回一個(gè)認(rèn)證幀，并建立AP和客戶端的連接。八、WLAN的安全對(duì)策2、共享密鑰認(rèn)證共享密鑰認(rèn)證要求用戶設(shè)備必須支持有線等效加密，用戶設(shè)備與AP必須配置匹配的靜態(tài)WEP密鑰。共享密鑰認(rèn)證過(guò)程中，采用共享密鑰認(rèn)證的無(wú)線接口之間需要交換質(zhì)詢與響應(yīng)消息，通信雙方總共需要交換4個(gè)認(rèn)證幀：八、WLAN的安全對(duì)策3、SSID隱藏SSID隱藏，可將無(wú)線網(wǎng)絡(luò)的邏輯名隱藏起來(lái)。AP啟用SSID隱藏后，信標(biāo)幀中的SSID字段被置為空八、WLAN的安全對(duì)策4、黑白名單認(rèn)證（MAC地址認(rèn)證）白名單的概念與“黑名單”相對(duì)應(yīng)。黑名單啟用后，被列入黑名單的用戶不能通過(guò)。設(shè)立了白名單，則在白名單中的用戶會(huì)允許通過(guò)，沒有在白名單列出的用戶將被拒絕訪問(wèn)。八、WLAN的安全對(duì)策5、PSK認(rèn)證PSK（Pre-sharedKey，PSK）認(rèn)證要求用戶使用一個(gè)簡(jiǎn)單的ASCII字符串（8～63個(gè)字符長(zhǎng)度，稱為密碼短語(yǔ)）作為密鑰?？蛻舳撕头?wù)端通過(guò)能否成功解密協(xié)商的消息來(lái)確定本端配置的預(yù)共享密鑰是否和對(duì)端配置的預(yù)共享密鑰相同，從而完成服務(wù)端和客戶端的相互認(rèn)證。八、WLAN的安全對(duì)策6、WLAN加密技術(shù)WLAN采用的加密技術(shù)主要有：WEP加密臨時(shí)密鑰完整性協(xié)議（TemporalKeyIntegrityProtocol，TKIP）加密計(jì)數(shù)器模式密碼塊鏈信息認(rèn)證碼協(xié)議（CounterModewithCipher-BlockChainingMessageAuthenticationCodeProtocol，CCMP）加密九、WLAN安全標(biāo)準(zhǔn)1、WLAN安全標(biāo)準(zhǔn)WEPWPA/WPA2WAPI九、WLAN安全標(biāo)準(zhǔn)2、WEP有線等效加密WEP（WiredEquivalentPrivacy）RC4算法加密密鑰長(zhǎng)度有64位和128位兩種WEP安全策略包括：鏈路認(rèn)證機(jī)制數(shù)據(jù)加密機(jī)制鏈路認(rèn)證分為開放系統(tǒng)認(rèn)證和共享密鑰認(rèn)證。如果選擇開放系統(tǒng)認(rèn)證方式，鏈路認(rèn)證過(guò)程不需要WEP加密。如果選擇共享密鑰認(rèn)證方式，鏈路認(rèn)證過(guò)程中完成了密鑰協(xié)商。九、WLAN安全標(biāo)準(zhǔn)3、WPA/WPA2鏈路認(rèn)證階段，WPA/WPA2僅支持開放式系統(tǒng)認(rèn)證。接入認(rèn)證階段，WPA/WPA2分為企業(yè)版和個(gè)人版。WPA/WPA2支持TKIP和CCMP兩種加密算法。TKIP加密算法：動(dòng)態(tài)密鑰協(xié)商、信息完整性校驗(yàn)機(jī)制，CCMP加密算法：高級(jí)加密標(biāo)準(zhǔn)AES（AdvancedEncryptionStandard）九、WLAN安全標(biāo)準(zhǔn)4、WAPI無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)WAPI（WLANAuthenticationandPrivacyInfrastructure）是中國(guó)提出的、以IEEE802.11無(wú)線協(xié)議為基礎(chǔ)的無(wú)線安全標(biāo)準(zhǔn)。無(wú)線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)WAI（WLANAuthenticationInfrastructure）：用于無(wú)線局域網(wǎng)中身份鑒別和密鑰管理的安全方案；無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)WPI（WLANPrivacyInfrastructure）：用于無(wú)線局域網(wǎng)中數(shù)據(jù)傳輸保護(hù)的安全方案，包括數(shù)據(jù)加密、數(shù)據(jù)鑒別和重放保護(hù)等功能。九、WLAN安全標(biāo)準(zhǔn)5、WAPI的優(yōu)勢(shì)（1）雙向身份鑒別：雙向鑒別機(jī)制既可以防止非法的STA接入WLAN網(wǎng)絡(luò)，同時(shí)也可以杜絕非法的WLAN設(shè)備偽裝成合法的設(shè)備。（2）數(shù)字證書身份憑證：WAPI有獨(dú)立的證書服務(wù)器，使用數(shù)字證書作為STA和WLAN設(shè)備的身份憑證，提升了安全性。（3）完善的鑒別協(xié)議：在WAPI中使用數(shù)字證書作為用戶身份憑證，在鑒別過(guò)程中采用橢圓曲線簽名算法，并使用安全的消息雜湊算法保障消息的完整性，攻擊者難以對(duì)進(jìn)行鑒別的信息進(jìn)行修改和偽造，所以安全等級(jí)高。十、WLAN的安全配置1、案例8-2：WLAN的安全配置以Jan16公司為例，公司對(duì)辦公室進(jìn)行無(wú)線覆蓋，出于安全考慮，配置無(wú)線信號(hào)連接時(shí)需要輸入密碼。提供名為“Jan16”的安全無(wú)線網(wǎng)絡(luò)，密碼為12345678。SW作為DHCP服務(wù)器和網(wǎng)關(guān)，為工作人員分配IP地址，AP僅做DHCP報(bào)文的二層透?jìng)鳌ＪLAN的安全配置2、案例相關(guān)數(shù)據(jù)準(zhǔn)備項(xiàng)目數(shù)據(jù)STA業(yè)務(wù)VLANVLAN10DHCP服務(wù)器SWSTA地址池NET:192.168.10.0/24GATEWAY:192.168.10.254SSID模板名稱：SSID1SSID名稱：jan16安全模板名稱：wpa2安全策略：WPA2+PSK+AES密碼：12345678VAP模板名稱：VAP1業(yè)務(wù)VLAN：VLAN10引用模板：SSID模板SSID1十、WLAN的安全配置3、案例配置思路（1）配置AP與上層網(wǎng)絡(luò)設(shè)備互通。（2）配置SW作為DHCP服務(wù)器，為STA分配IP地址。（3）配置WLAN業(yè)務(wù)參數(shù)。（4）應(yīng)用WLAN參數(shù)到無(wú)線射頻卡。十、WLAN的安全配置4、案例8-2配置步驟1配置AP與上層網(wǎng)絡(luò)設(shè)備互通。<Huawei>system-view[Huawei]sysnameAP[AP]vlan10[AP-vlan10]nameUSER[AP-vlan10]quit[AP]interfaceVlanif10[AP-Vlanif10]ipaddress192.168.10.25324[AP-Vlanif10]quit[AP]interfacegigabitethernet0/0/0[AP-GigabitEthernet0/0/0]portlink-typetrunk[AP-GigabitEthernet0/0/0]porttrunkallow-passvlan10[AP-GigabitEthernet0/0/0]quit十、WLAN的安全配置5、案例8-2配置步驟2配置SW作為DHCP服務(wù)器，為STA分配IP地址。<Huawei>system-view<Huawei>sysnameSW[SW]vlan10[SW-vlan10]nameUSER[SW-vlan10]quit[SW]interfacegigabitethernet0/0/1[SW-GigabitEthernet0/0/1]portlink-typetrunk[SW-GigabitEthernet0/0/1]porttrunkallow-passvlan10[SW-GigabitEthernet0/0/1]quit[SW]dhcpenable[SW]interfaceVlanif10[SW-Vlanif10]ipaddress192.168.10.25424[Router-GigabitEthernet1/0/0]dhcpselectinterface[Router-GigabitEthernet0/0/1]dhcpserverexcluded-ip-address192.168.10.253[SW-Vlanif10]quit十、WLAN的安全配置6、案例8-2配置步驟3配置WLAN參數(shù)；[AP]wlan[AP-wlan-view]ssid-profilenameSSID1[AP-wlan-ssid-prof-SSID1]ssidjan16[AP-wlan-ssid-prof-SSID1]quit[AP-wlan-view]security-profilenamewpa2//創(chuàng)建名為“wpa2”的安全模板[AP-wlan-sec-prof-wpa2]securitywpa2pskpass-phrase12345678aes//配置安全協(xié)議為“WPA2”,認(rèn)證方式采用psk，密鑰為“12345678”，加密方式為AES。[AP-wlan-vap-prof-wpa2]quit[AP-wlan-view]vap-profilenameVAP1[AP-wlan-vap-prof-VAP1]service-vlanvlan-id10[AP-wlan-vap-prof-VAP1]ssid-profileSSID1[AP-wlan-vap-prof-VAP1]security-profilewpa2//引用名為“wpa2”的安全模板[AP-wlan-vap-prof-VAP1]quit[AP-wlan-view]quit十、WLAN的安全配置7、案例8-2配置步驟4應(yīng)用WLAN參數(shù)到無(wú)線射頻卡；[AP]interfaceWlan-Radio0/0/0[AP-Wlan-Radio0/0/0]vap-profileVAP1wlan2[AP-Wlan-Radio0/0/0]quit十、WLAN的安全配置8、案例8-2案例驗(yàn)證1配置完成后，可以在AP上使用【displayvapssidVAP1】命令查看VAP信息，[AP]displayvapssidVAP1Info:Thisoperationmaytakeafewseconds,pleasewait.WID:WLANID-------------------------------------------------------------------------------APMACRfIDWIDBSSIDStatusAuthtypeSTASSID-------------------------------------------------------------------------------c4b8-b469-32e002C4B8-B469-32E1ONWPA2-PSK0jan16-------------------------------------------------------------------------------Total:1十、WLAN的安全配置9、案例8-2案例驗(yàn)證2在PC上查找無(wú)線信號(hào)jan16。十、WLAN的安全配置10、案例8-2案例驗(yàn)證2接入時(shí)需要輸入密碼。十、WLAN的安全配置11、案例8-2案例驗(yàn)證4連接成功后使用【ping】命令測(cè)試連通性，PC>ping192.168.10.254Ping192.168.10.254:32databytes,PressCtrl_CtobreakFrom192.168.10.254:bytes=32seq=1ttl=128time=63msFrom192.168.10.254:bytes=32seq=2ttl=128time=62ms---省略部分顯示內(nèi)容---階段總結(jié)WLAN的安全問(wèn)題有哪些？WLAN的安全對(duì)策有哪些